Несколько дней назад в нашу антивирусную лабораторию поступил исполняемый PE-файл (драйвер), который содержал действительную цифровую подпись. Мы добавили его в базу как Win64/Duqu.AC. Сертификат был выдан известной тайваньской компании Foxconn (Hon Hai Precision Industry Co.), которая специализируется на производстве электроники, а также является одной из крупнейших компаний, занимающейся производством компонентов флагманских устройств таких известных компаний как Apple, Canon, Sony.
Ранее мы уже писали про эту вредоносную кампанию, в которой злоумышленники использовали новую версию state-sponsored вредоносного ПО Duqu (Duqu2, Duqu.B), а также про другие обнаружения этой вредоносной программы со стороны наших AV продуктов. Указанный драйвер имеет небольшой размер (27 448 байт) и используется атакующими для манипулирования сетевым трафиком на уровне NDIS в скомпрометированной системе.
Рис. Название объекта-устройства, а также символьной ссылки, которые вредоносный драйвер создает в системе (индикатор заражения).
Уже по информации об импортах драйвера (ndis.sys) видно, что он специализируется на работе с сетевым трафиком на уровне NDIS.
Рис. Часть импортируемых Win64/Duqu.AC функций.
Рис. Действительная цифровая подпись Win64/Duqu.AC. Скомпрометированный сертификат был еще действителен.
Рис. Свойства вредоносного файла.
Кража цифрового сертификата роднит вредоносную кампанию по распространению Duqu2 с другой вредоносной компанией по распространению известного червя Stuxnet, его драйверы также содержали цифровую подпись, причем сертификаты также были похищены у технологических компаний: JMicron и Realtek. Снабжение вредоносного драйвера цифровой подписью является стопроцентным решением обеспечить загрузку такого драйвера в 64-битной версии Windows.
Указанный драйвер имеет следующие отпечатки:
MD5: 92e724291056a5e30eca038ee637a23f
SHA1: 478c076749bef74eaf9bed4af917aee228620b23
SHA256: bc4ae56434b45818f57724f4cd19354a13e5964fd097d1933a30e2e31c9bdfa5
Ранее мы уже писали про эту вредоносную кампанию, в которой злоумышленники использовали новую версию state-sponsored вредоносного ПО Duqu (Duqu2, Duqu.B), а также про другие обнаружения этой вредоносной программы со стороны наших AV продуктов. Указанный драйвер имеет небольшой размер (27 448 байт) и используется атакующими для манипулирования сетевым трафиком на уровне NDIS в скомпрометированной системе.
Рис. Название объекта-устройства, а также символьной ссылки, которые вредоносный драйвер создает в системе (индикатор заражения).
Уже по информации об импортах драйвера (ndis.sys) видно, что он специализируется на работе с сетевым трафиком на уровне NDIS.
Рис. Часть импортируемых Win64/Duqu.AC функций.
Рис. Действительная цифровая подпись Win64/Duqu.AC. Скомпрометированный сертификат был еще действителен.
Рис. Свойства вредоносного файла.
Кража цифрового сертификата роднит вредоносную кампанию по распространению Duqu2 с другой вредоносной компанией по распространению известного червя Stuxnet, его драйверы также содержали цифровую подпись, причем сертификаты также были похищены у технологических компаний: JMicron и Realtek. Снабжение вредоносного драйвера цифровой подписью является стопроцентным решением обеспечить загрузку такого драйвера в 64-битной версии Windows.
Указанный драйвер имеет следующие отпечатки:
MD5: 92e724291056a5e30eca038ee637a23f
SHA1: 478c076749bef74eaf9bed4af917aee228620b23
SHA256: bc4ae56434b45818f57724f4cd19354a13e5964fd097d1933a30e2e31c9bdfa5